Hallo,
wir haben ein Zentrale und mehreren Nebenstellen.
Die Nebenstellen sollen ein VPN Verbindung zur Zentrale aufbauen.
In der Zentrale ist eine USG-Pro-4 mit fester IP (82.Y.Y.Y) und keinen doppelten NAT.
Die meisten Nebenstellen haben Lancoms und dort funktioniert die VPN Verbindung.
Eine Nebenstelle hat eine Fritz!Box 7490 die auch als Telefonzentrale funktioniert. Ins Internet geht es auch mit fester IP (80.X.X.X). Auch kein doppeltes NAT.
config.gateway.json
Code
{
"vpn": {
"ipsec": {
"esp-group": {
"ESP-VPN": {
"compression": "disable",
"lifetime": "3600",
"mode": "tunnel",
"pfs": "enable",
"proposal": {
"1": {
"encryption": "aes256",
"hash": "sha1"
}
}
},
"ESP-FB": {
"compression": "disable",
"lifetime": "3600",
"mode": "tunnel",
"pfs": "enable",
"proposal": {
"1": {
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"ike-group": {
"IKE-FB": {
"ikev2-reauth": "no",
"key-exchange": "ikev1",
"lifetime": "3600",
"proposal": {
"1": {
"dh-group": "2",
"encryption": "aes256",
"hash": "sha1"
}
}
},
"IKE-VPN": {
"lifetime": "3600",
"key-exchange": "ikev1",
"proposal": {
"1": {
"dh-group": "14",
"encryption": "aes256",
"hash": "sha1"
}
}
}
},
"auto-firewall-nat-exclude": "enable",
"auto-update": "60",
"site-to-site": {
"peer": {
"80.X.X.X": {
"authentication": {
"mode": "pre-shared-secret",
"pre-shared-secret": "##################",
"id": "82.Y.Y.Y",
"remote-id": "80.X.X.X"
},
"connection-type": "initiate",
"ike-group": "IKE-FB",
"local-address": "any",
"tunnel": {
"1": {
"esp-group": "ESP-VPN",
"local": {
"prefix": "192.168.160.0/24"
},
"remote": {
"prefix": "192.168.178.0/24"
}
}
}
},
"VPN-Nebenstellen1.dyndns.de": {
"authentication": {
"mode": "pre-shared-secret",
"pre-shared-secret": "##################",
"id": "82.Y.Y.Y",
"remote-id": "VPN-Nebenstellen1.dyndns.de"
},
"connection-type": "respond",
"ike-group": "IKE-VPN",
"local-address": "any",
"tunnel": {
"1": {
"esp-group": "ESP-VPN",
"local": {
"prefix": "192.168.160.0/24"
},
"remote": {
"prefix": "192.168.61.0/24"
}
}
}
}
}
}
}
}
}
Alles anzeigen
Konfig für Fritz!Box
Code
vpncfg {
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan; // Site2Site
name = "Zentrale";
always_renew = yes; // Von Fritz!Box initiierte Verbindung aufrechterhalten
reject_not_encrypted = no; // Internetzugang neben VPN erlauben
dont_filter_netbios = no; // NetBIOS filtern (bei Bedarf auf 'yes' setzen)
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 82.Y.Y.Y;
remote_virtualip = 0.0.0.0;
// remotehostname = "82.Y.Y.Y";
keepalive_ip = 0.0.0.0; // Optional: Ständig erreichbare IP auf der Gegenseite, um Verbindungsabbruch frühzeitig erkennen
localid {
fqdn = "80.X.X.X";
}
remoteid {
fqdn = "82.Y.Y.Y";
}
mode = phase1_mode_idp; // Aggressive mode: 'phase1_mode_aggressive'
phase1ss = "all/all/all"; // https://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf
keytype = connkeytype_pre_shared;
key = "##################";
cert_do_server_auth = no;
use_nat_t = yes; // NAT traversal
use_xauth = no; // Keine zusätzliche XAUTH Authentifizierung
use_cfgmode = no; // Keine Konfigurationsdetails an die Gegenseite pushen (Cisco MODECFG)
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.160.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // https://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf
// Verwende keinen 'Authentication Header'. AH ist inkompatibel mit NAT und ESP reicht.
accesslist = "permit ip any 192.168.160.0 255.255.255.0",
"permit ip any 192.168.166.0 255.255.255.0"; // Optional, falls weitere Netzwerke erreicht werden sollen. Auf Rückrouten achten!
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Alles anzeigen
Leider bekomme ich keine Verbindung zur Nebenstelle 2.
Bei versuch die Verbindung über USG aufzubauen (ipsec up peer-80.X.X.X-tunnel-1) kommt:
Code
initiating Main Mode IKE_SA peer-80.X.X.X-tunnel-1[145] to 80.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from 82.Y.Y.Y[500] to 80.X.X.X[500] (156 bytes)
received packet: from 80.X.X.X[500] to 82.Y.Y.Y[500] (196 bytes)
parsed ID_PROT response 0 [ SA V V V V V V ]
received XAuth vendor ID
received DPD vendor ID
received NAT-T (RFC 3947) vendor ID
received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
received draft-ietf-ipsec-nat-t-ike-03 vendor ID
received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 82.Y.Y.Y[500] to 80.X.X.X[500] (244 bytes)
received packet: from 80.X.X.X[500] to 82.Y.Y.Y[500] (228 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
sending packet: from 82.Y.Y.Y[500] to 80.X.X.X[500] (108 bytes)
received packet: from 80.X.X.X[500] to 82.Y.Y.Y[500] (92 bytes)
parsed INFORMATIONAL_V1 request 3316203505 [ HASH N(INVAL_ID) ]
received INVALID_ID_INFORMATION error notify
establishing connection 'peer-80.X.X.X-tunnel-1' failed
Alles anzeigen
Wie bekomme ich eine VPN Verbindung zur Fritz!Box?
Danke